Un nuevo exploit está en su navegador ahora mismo: cómo protegerse

Cuando habla en Internet, debe acordar un idioma con el que comunicarse. ¿Qué pasa si quieres hablar en privado? Bueno, hay cifrado para eso. Pero al igual que con cualquier otro tipo de comunicación, también necesita tener una forma de cifrado que pueda usar mutuamente con quienquiera que esté hablando. Dado que no todos los navegadores utilizan los mismos algoritmos, los servidores a veces tienen que mantener la compatibilidad con algoritmos que pueden ser bastante peligrosos. Google acaba de descubrir un exploit que en este momento puede afectar a millones de navegadores en todo el mundo que usan dicho algoritmo, ¡y vamos a hablar de ello!

¿Que pasó?

¿Recuerda ese error de Heartbleed que se informó en casi todos los sitios web de tecnología? Aquí está el resumen si no desea leer una pared completa de texto: OpenSSL (la biblioteca de algoritmos de cifrado utilizada por muchos sitios web de todo el mundo) tenía un agujero. La mayoría de los sitios web medianos y grandes lo conectaron con éxito simplemente actualizando OpenSSL. Todo estaba hecho y desempolvado hasta que sucedió algo más.

Esta vez, lo que se conoce como el exploit POODLE vuelve a afectar a Secure Sockets Layer (SSL), aunque es una versión completamente diferente. SSL 3.0 tiene un error grave que permite a los piratas informáticos descifrar fácilmente las cookies enviadas a través del protocolo HTTP. Esto les permitirá ver la información personal que pertenece a su sesión de inicio de sesión e incluso les permitirá hacerse pasar por usted.

La solución

SSL 3.0 es una criptografía muy antigua, que se remonta a la época en que MySpace todavía estaba ganando terreno como sitio web de redes sociales. De hecho, el término “redes sociales” ni siquiera era muy popular en ese entonces. Muchos de los millenials de hoy estaban entrando en la adolescencia o todavía jugaban en la tierra en el recreo en quinto grado. ¡Esa es la edad que tiene y los servidores todavía lo están usando!

Desde entonces, se han realizado algunas mejoras importantes, como Transport Layer Security (TLS). Este nuevo protocolo criptográfico elimina muchos de los grandes problemas que estaban presentes en SSL, como las vulnerabilidades que llevaron a ciertos ataques (como el encadenamiento de bloques de cifrado que se resolvió en TLS 1.1). La única razón por la que TLS necesitaba un nuevo acrónimo era que ya no era “interoperable” en SSL. Lo que queremos decir los sabelotodo industriales cuando decimos que algo es “interoperable” es que es capaz de funcionar con versiones anteriores de algo.

Entonces, SSL 3.0 está muerto y ahora estamos usando algo conocido como TLS 1.2. El único problema es que todavía hay muchos navegadores que utilizan SSL 3.0 para la transmisión de datos. Los servidores aún lo admiten como una alternativa segura en caso de que los navegadores que se conectan a ellos no admitan TLS. La peor parte es que incluso si su navegador anuncia su compatibilidad con TLS, no hay garantía de que el servidor no responda con SSL 3.0. Los piratas informáticos pueden usar esto para obligar a su navegador y a los servidores que le envían datos a ceñirse al protocolo anterior. Por esta razón y solo por esta razón, el exploit POODLE sigue siendo un gran problema.

Google tiene una propuesta: ¿por qué no dejamos de admitir SSL 3.0 y pedimos a todos los que lo usan que se actualicen? Para las personas que ejecutan servidores y desarrolladores de navegadores, el mejor consejo de Google es admitir TLS_FALLBACK-SCSV. En pocas palabras, deje de aceptar conexiones SSL y solo acepte aquellas en TLS.

En este momento, Google dice que está trabajando en cambios en Chrome para evitar que vuelva a utilizar SSL. Otros desarrolladores de navegadores pueden seguir su ejemplo.

Mi mejor consejo para ti es mantener tu navegador actualizado y asegurarte de no ir a sitios en los que no confías. Aparte de eso, también puede enviar un correo electrónico a los administradores del sitio web con sus inquietudes y vincularlos a este artículo.

¿Algún otro consejo útil?

Si cree que tiene algo útil que agregar a esta discusión, ¡déjelo en un comentario! Todos deben estar conscientes de todo lo que pueden hacer para mantener la seguridad de toda su información cuando navegan por la Web.

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario